Настройка КЭП для работы на MacOS | УЦ ITCOM

Необходимое программное обеспечение:

Минимальные требования: 

Операционная система: Mac OS X 10.9.Наличие учетной записи с правами администратора.

Ссылки на необходимое программное обеспечение:

Windows не может проверить подлинность сертификата

Чаще всего такая ошибка возникает в старых версиях ОС Windows. К примеру, если используется Windows 7, необходимо обновить ее до пакета исправления SP1 и импортировать сертификата еще раз.

Также сами разработчики криптографического комплекса «Крипто Про» рекомендуют применять 64-битные системы.

Такое требование актуально для системы Windows 7 и последующих. При этом Windows XP версии SP3 выходила только в 32-битной версии, но в ней подобной проблемы никогда не возникает.

Кроме этого такая проблема часто встречается на Windows Vista (частично она была решена в редакции SP2).

Поскольку Windows XP и Windows Vista уже серьезно устарели и поддержка этих операционных систем уже не производится, крайне рекомендуется обновить их хотя бы до Windows 7.

Блокировка доверия для сертификата wosign ca free ssl certificate g2

Центр сертификации (ЦС) WoSign несколько раз допускал ошибки, связанные с управлением, при выдаче сертификатов через промежуточный ЦС WoSign CA Free SSL Certificate G2. Хотя корневой сертификат WoSign находится в списке доверенных сертификатов Apple, этот промежуточный центр сертификации использовался для связей сертификатов с перекрестной подписью с StartCom и Comodo, чтобы установить отношение доверия с продуктами Apple.

В свете этих обстоятельств мы принимаем меры по защите пользователей в рамках обновления безопасности. Продукты Apple больше не доверяют промежуточному центру сертификации WoSign CA Free SSL Certificate G2.

Чтобы предотвратить прекращение обслуживания держателей сертификатов WoSign и обеспечить для них переход на доверенные корневые сертификаты, продукты Apple доверяют индивидуальным существующим сертификатам, выданным этим промежуточным центром сертификации и опубликованным на общедоступных серверах журналов Certificate Transparency до 19 сентября 2021 года.

По мере изучения проблемы и обнаружении дополнительных уязвимостей, появляющихся из-за использования точек доверия WoSign/StartCom в продуктах Apple, мы будем принимать необходимые меры для защиты пользователей.

Дальнейшие действия для WoSign

В ходе дальнейшего исследования мы пришли к выводу, что помимо многочисленных ошибок управления в работе центра сертификации WoSign (CA), организация WoSign не сообщила о приобретении StartCom.

Мы продолжаем принимать меры для защиты пользователей в предстоящем обновлении безопасности. Продукты Apple будут блокировать сертификаты, выданные корневыми центрами сертификации WoSign и StartCom, если их дата Not Before (Не раньше) выпадает на 1 декабря 2021 г. 00:00:00 GMT/UTC или позже.

В linux

Современные дистрибутивы Linux намного больше дружелюбны к обычным пользователям, чем это было раньше. Поэтому, в настоящее время на них установка КС ничем сильно не отличается от аналогичных действий в Windows.

Чтобы установить головной сертификат УЦ необходимо щелкнуть по нему мышью два раза и выбрать «Установить сертификат». Импорт сертификата ЭЦП необходимо будет подтвердить вводом пароля пользователя.

Если при таком способе возникают проблемы, можно импортировать напрямую из терминала ключей удостоверяющего центра. Для этого необходимо в нем ввести команду certmgr -inst -store root -file «полный путь к файлу».

После обработки такой команды также потребуется ввести административный пароль.

В windows

На компьютере потребуется установить файл, имеющий расширение «.crt». Оно используется для корневых сертификатов.

Удостоверяющий центр может его выдавать в архивированном виде. Тогда нужно воспользоваться специальными программами WinRAR или 7Z, чтобы данный файл извлечь из архива.

Затем нужно произвести следующие действия:

1. Выделить файл и правой кнопкой мыши открыть контекстное меню.
2. В меню выбираем команду «Установить сертификат», в результате которой запускается «Мастер импорта».
3. После его запуска кликаем на кнопку «Далее».
4. В выпавшем окне выбираем «Поместить все сертификаты в выбранной хранилище».
5. После этого в диалоговом окне выбираем «Доверенные корневые центры сертификации» и нажимаем кнопку ОК. Обязательно нужно учесть, чтобы при этом в пункте «Показать только физические хранилища» не должна стоять галочка.
6. Потом нажимаем кнопку «Далее», выпадает сообщение системы на компьютере об установке ключа неизвестного назначения, которое следует проигнорировать и закрыть. Затем нажать на кнопку «Готово».

Если устанавливать корневой сертификат, у которого закончился срок использования, то система выдаст ошибку.

После этого желательно компьютер перезагрузить, чтобы избежать проблемы работы КриптоПро CSP, которая характерна на старые версии этой программы.

Ввод лицензии криптопро

     1. Откройте Terminal (см. пункт «Запуск приложения macOS Терминал (Terminal)»).

     2. Введите команду: sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии_с_дефисами.

ВАЖНО: номер лицензии необходимо вводить с дефисами. Для подтверждения ввода необходимо ввести пароль администратора. Ввод пароля не отображается в окне терминала. После ввода пароля нажмите Enter.

Возобновление действия с помощью протокола scep

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить». Текущий закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Когда центр сертификации продлевает сертификат, он объединяет его в пару с исходным закрытым ключом.

Исходный сертификат, созданный при установке профиля, остается в связке ключей.

Где его взять

КС выдаются самими сертифицированными удостоверяющими центрами, где субъект получает свою ЭЦП. Он выдается вместе с ЭП на носителе или же центр предоставляет электронный адрес – ссылку на официальный сайт.

Дополнительная информация

Профиль, использовавшийся для создания сертификата из протокола ADCert или SCEP, можно удалить. Если используется Mavericks или более поздняя версия macOS, наиболее недавний сертификат и закрытый ключ удаляются из связки ключей, а исходный сертификат необходимо удалять вручную.

Использовавшийся для получения сертификата профиль может иметь другие полезные нагрузки, привязанные к сертификату. Примеры нагрузок включают следующие способы идентификации на основе сертификатов: EAP-TLS (для обычной сети) и OnDemand (для сети VPN).

После продления сертификата установленный профиль связывается с новым сертификатом. А также не устанавливаются и не создаются никакие дополнительные профили.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей.

источник

Запуск приложения macos терминал (terminal).

Открыть стандартное приложение macOS Терминал (Terminal) возможно одним из способов:

     1. Выберите Spotlight (кнопка лупы в правом верхнем углу экрана) и введите в строку поиска «Терминал».

     2. Сверните все запущенные приложения, в верхнем меню выбирайте вкладку «Переход», в открывшемся меню нажимаете раздел «Утилиты».

     3. Запускаем «Терминал».

В окне Терминала необходимо будет вводить команды.

!!! ВАЖНО при вводе команд возможно придется вводить пароль «Password» как на изображении выше, при воде символы НЕ БУДУТ отображаться. После ввода символов пароля необходимо нажать клавишу «Enter».

Импорт сертификата в macos x

Для того чтобы записать персональный сертификат WM Keeper WebPro (Light) с закрытым ключом на MacOS X необходимо выполнить следующие действия:

1. Запустите приложение «Связка ключей». Перетащите файл сертификата со съемного носителя информации в приложение «Связка ключей».

Вы также можете выполнить следующие действия: Нажмите правой кнопкой мыши на сертификате, который необходимо импортировать и выберете «Открыть в программе» — «Связка ключей»

2. Введите пароль для персонального сертификата (тот, который вы задали при экспорте сертификата)

3. При успешном выполнении импорта персонального сертификата, он отобразится у Вас в «Связке ключей»

источник

Инструкция по установке корневого сертификата удостоверяющего центра

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

1. Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
2. Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
3. Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Использование продления сертификатов из профиля в macos

В текущей версии macOS поддерживается продление сертификатов из профиля конфигурации.

Продлить регистрацию сертификатов с помощью профиля конфигурации в macOS можно двумя способами.

• Протокол Simple Certificate Enrollment Protocol (SCEP), в котором часто используется служба Network Device Enrollment Service (NDES) центра сертификации Microsoft.
• Протокол DCOM/RPC (ADCertificate), который зависит от центра сертификации Microsoft Windows Server.

Как обновить корневой сертификат

При наступлении нового года, обычно требуется загрузить и переустановить новые обновленные корневые ключи удостоверяющих центров.

Чаще всего напоминание об этом выводит либо сама операционная система, либо программное обеспечение, которое использует ЭЦП.

Как провести обновление:

Обновление является простой операцией. И ничем не отличается от установки нового сертификата. Производить удаление старого ключа не требуется, поскольку система сама его пометит как недействительный при истечении срока действия.

Как установить корневой сертификат удостоверяющего центра криптопро

Рассмотрим подробнее как происходит процесс установки.

Какие бывают корневые сертификаты и для чего нужны

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП. 

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ). 

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через  «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты». 

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ». 

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры. 

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Какую информацию он содержит

Корневой сертификат содержит в зашифрованном виде все основные сведения об удостоверяющем центре:

• Срок его действия.
• Сервисная информация об удостоверяющем центре.
• Адрес в интернете – где содержится реестр организаций, у которых выпущена ЭП.

Просто так просмотреть эти сведения не получится. Нужно использовать специализированную программу – КриптоПро CSP.

Криптопро эцп browser plug-in

     1. КриптоПро ЭЦП Browser plug-in скачиваете по данной ссылке.

     2. Запустите файл установщика cprocsp-pki-2.0.14071.pkg.

     3. Начнется установка КриптоПро ЭЦП Browser Plug-in. Нажмите Продолжить.

     4. Ознакомьтесь с информацией о продукте и нажмите Продолжить.

     5. Ознакомьтесь с Лицензионным соглашением и нажмите Продолжить.

     6. Чтобы продолжить установку, потребуется принять условия Лицензионного соглашения. Для этого в появившемся окне нажмите Принять.

     7. Для продолжения установки, нажмите Установить. Не рекомендуется изменять директорию установки КриптоПро ЭЦП Browser plug-in.

     8. Если потребуется, разрешите Установщику установить КриптоПро ЭЦП Browser plug-in. Для этого необходимо ввести пароль.

     9. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

Можно ли установить электронную подпись без корневого сертификата

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

• при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
• если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Настройка браузера chromium-gost

     1. Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

     2. Включаем оба установленных расширения, с помощью выключателя  (включен).

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

     3. Настраиваем расширение КриптоПро ЭЦП Browser plug-in, для этого в адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

     4. На появившейся странице в список доверенных узлов по очереди добавляем сайты:

Настройка уведомлений о продлении

В Yosemite и более поздних версиях macOS уведомление отображается раз в день, когда до истечения срока действия сертификата остается менее 14 дней.

Время ежедневного уведомления можно изменить с помощью двух параметров конфигурации: CertificateRenewalTimeInterval и CertificateRenewalTimePercent.

Параметр CertificateRenewalTimePercent можно применить с помощью следующего синтаксиса.

Эти два параметра можно использовать вместе.

• Если в профиле задан параметр CertificateRenewalTimeInterval, используйте это значение.
• Если параметр CertificateRenewalTimeInterval задан не в профиле, а в клиенте, используйте значение CertificateRenewalTimePercent.

Если не задано ни одно из значений, временной интервал составляет 14 дней.

Не найден локальный сертификат удостоверяющего центра

Такая ошибка чаще всего возникает при работе в системе банк-клиент. В этом случае во время установления связи между банковским сервером и клиентским компьютером, банк присылает, а у клиента его нечем проверить.

Для решения этой проблемы необходимо запросить у банка требуемый сертификат. Установить его в систему и указать, что это КС Удостоверяющего центра.

Не установлен корневой сертификат

Если возникает проблема с установкой, в первую очередь необходимо убедиться, что на компьютере установлена лицензионная ОС Windows.

Очень часто в пиратских версиях системы функционал частично обрезается, чтобы обеспечить функционирование операционной системы без фактической лицензии, отключаются некоторые системные службы.

Еще одной часто встречающейся проблемой является использование на данном компьютере двух и более криптопровайдеров либо специализированного программного обеспечения для шифрования.

Возникает ситуация, что криптопровайдеры начинают конфликтовать друг с другом, поскольку каждый пытается управлять хранилищем сертификатов самостоятельно.

В такой ситуации рекомендуется временно удалить один из них и посмотреть, будет ли возникать данная ошибка снова.

Если необходимо использовать оба (например, клиентское ПО использует разный набор криптопровайдеров), то тогда необходимо их обновить до самой актуальной версии, поскольку разработчики оперативно исправляют появляющиеся ошибки.

Ошибка импорта

Система Windows может сообщить об ошибке при попытке добавить сертификат в хранилище.

Она чаще всего происходит по одной из следующих причин:

• Установлена старая версия криптопровайдера — в настоящее время сертификаты выпускаются согласно ГОСТ 2021 года, для которого требуется минимально версия Крипто Про 4.0
• Копия открытого ключа данного сертификата уже была установлена в систему (проверить это можно просмотреть перечень установленных ЭЦП через панель управления Крипто Про;
• Windows не может получить доступ к реестру, либо работа с ним заканчивается ошибкой — желательно произвести проверку и восстановление реестра средствами Windows, либо использовать сторонние программы как, например, C&CLeaner.
• Время действия КС удостоверяющего центра, импорт которого пытается выполнить пользователь, истекло. Необходимо получить новый сертификат с действующим периодом.
• Поврежден сам файл сертификата УЦ. Необходимо получить новую копию и осуществить импорт снова.

Если ошибка все равно появляется, то возможно проблема уже непосредственно в установленной копии Windows. В этой ситуации желательно произвести ее переустановку.

Ошибка с правами

Чаще всего эта ошибка возникает если у пользователя, из-под которого производят импорт сертификата УЦ, нет прав для выполнения данного действия.

Тогда требуется войти на компьютер под учетной записью администратора. Либо осуществить импорт используя опцию «Запуск от имени администратора» при щелчке мышью.

Плагин для госуслуг

     1. Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2021 по ссылке 

     2. Запустите файл установщика IFCPlugin.pkg с помощью контекстного меню (правая кнопка мыши), выбрав Открыть.

     3. Для начала установки нажимаете Установить.

     4. Начнется установка, необходимо действовать, согласно сообщениям программы. 

     5. Если потребуется, разрешите Установщику установить плагин. Для этого необходимо ввести пароль.

     6. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

     7. Конфигурационный файл плагина Госуслуг ifc.cfg доступен по данной ссылке.

     8. Скачиваем и оставляем его в папке Download/Загрузки.

     9. Открываем стандартное приложение macOS Терминал (Terminal) (см. раздел Запуск приложения macOS Терминал (Terminal)).

     10. Вводим последовательно команды:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

Подпись файла командой из терминал (terminal)

     1. В Терминал (Terminal) переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

     2. Команда должна вернуть:

Signed message is created.[ErrorCode: 0x00000000]Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Прежние общие хранилища доверия

Продление сертификата с помощью командной строки

В macOS 10.12 Sierra и более поздних версий действие сертификатов, созданных из профиля с помощью протоколов ADCertificate и SCEP можно продлить с помощью команды /usr/bin/profiles . Используйте следующий синтаксис в командной строке.

Значение profileIdentifier можно найти, просмотрев список установленных профилей с помощью аргумента команды -L.

Продление сертификата с помощью протокола adcertificate

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить», чтобы создать закрытый ключ. Этот закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Новый сертификат из центра сертификации сопрягается с новым закрытым ключом.

Исходный сертификат и закрытый ключ, которые были созданы при установке профиля, остаются в связке ключей.

Руководство по настройке компьютера для работы с электронной подписью в браузере.

     1. ОСНОВНЫЕ ПОНЯТИЯ (если есть аббревиатуры, понятия и т.д.):

• Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически. 
• Плагин (модуль) — это программный блок, который встраивается в браузер и расширяет его возможности. В отличие от дополнений плагин, как правило, не имеет интерфейса. Плагины используются для проигрывания видео и аудио в браузере, просмотра PDF-документов, улучшения работы веб-служб, организующих совместную работу в интернете и т. д.

Сведения о сертификатах

В macOS можно получить сертификат и продлить его с помощью одного и того же профиля. macOS предупреждает о приближающейся дате истечения срока действия.

• Когда до неё останется 15 дней, вы получите напоминание.
• Когда до истечения срока действия сертификата останется менее 15 дней, в центре уведомлений отобразится баннер. Такое уведомление появляется раз в день, пока срок действия сертификата не истечет или вы не удалите его.

Чтобы обновить сертификат, перейдите в область «Профили» меню «Системные настройки» и нажмите кнопку «Обновить».

Создание настройки сертификата в программе «связка ключей» на mac

Если Вы ведете переписку по электронной почте с пользователем, который использует различные сертификаты для своих адресов электронной почты, Вы можете создать настройку сертификата и тем самым указать, какой именно сертификат требуется использовать при отправке сообщения этому пользователю.

Создание новой настройки сертификата

В программе «Связка ключей»

на Mac выберите «Вход» в списке «Связки ключей».

Выберите пункт «Сертификаты» в списке под названием «Категория».

Для этого выполните следующее:

Выберите сертификат, который хотите использовать, а затем перейдите в пункт меню «Файл» > «Новая настройка сертификата».

Перейдите в пункт меню «Файл» > «Новая настройка сертификата», нажмите всплывающее меню «Сертификат», а затем выберите сертификат, который требуется использовать.

В строке «Размещение или адрес e‑mail» введите размещение (URL) или адрес e‑mail, для которого необходим сертификат.

Чтобы просмотреть созданные настройки сертификатов, нажмите на заголовок столбца «Тип» в окне просмотра сертификатов, а затем найдите вхождения «настройка сертификата» в столбце «Тип».

Создание самоподписанных сертификатов в связке ключей на mac

Вы можете создать самоподписанный сертификат с помощью Ассистента сертификации в программе «Связка ключей». Самоподписанные сертификаты не обеспечивают таких гарантий, как сертификаты, подписанные бюро сертификации, но могут быть полезны, если Вы доверяете лицу, которое их подписало.

В программе «Связка ключей»

на Mac выберите пункт меню «Связка ключей» > «Ассистент сертификации» > «Создать сертификат».

Выберите тип идентификации, а затем выберите тип сертификата.

Для информации о типах сертификатов нажмите «Подробнее».

Если Вы хотите вручную указать в сертификате информацию, такую как пары ключей, сведения о расширениях и шифровании, нажмите «Заменить настройки по умолчанию» и следуйте инструкциям на экране. Если у Вас возникают вопросы по ходу создания сертификата, нажмите «Подробнее».

Примечание. Можно создавать ключи RSA длиной до 4096 бит. Ключи RSA длиной меньше 2048 бит больше не поддерживаются.

Просмотрите сертификат и затем нажмите «Готово».

источник

Список доступных доверенных корневых сертификатов в ос macos high sierra

Удаление настройки сертификата

В программе «Связка ключей»

на Mac выберите «Вход» в списке «Связки ключей».

Выберите «Все объекты» в списке под названием «Категория».

Нажмите на заголовок столбца «Тип», чтобы отсортировать все объекты столбца по типу, а затем прокручивайте вниз, пока не увидите заданные Вами настройки сертификатов.

Выберите настройку сертификата и нажмите клавишу Delete, затем нажмите кнопку «Удалить».

источник

Устанавливаем сертификат с рутокен

     1. Подключаем usb-токен, переходим в  Терминал (Terminal) и выполняем команду:

/opt/cprocsp/bin/csptest -card –enum

     2. Устанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb -certs

Конфигурируем CryptoPro для работы c сертификатами ГОСТ Р 34.10-2021

Установка apple automator script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого 

Установка специального браузера chromium-gost

     1. Для работы с государственными порталами потребуется браузер – Chromium-GOST.

По ссылке скачивается определенная сборка браузера (71.0.3578.98), так как в более новых версиях не гарантируется корректная работа в ЛК ФНС.

     2. После скачивания файл браузера появится в папке Downloads (Загрузки), запускать его не требуется, просто перетаскиваем на панель уведомлений для удобства.

     3. Переходим к настройке плагинов ниже.

Устранение сбоев

     1. Переподключаем usb-токен и проверяем что он виден с помощью команды в Терминал (Terminal):

sudo /opt/cprocsp/bin/csptest -card -enum

     2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

chrome://settings/clearBrowserData

     3. Переустанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb –certs

     4. Проверить статус лицензии КриптоПро CSP можно командой:

/opt/cprocsp/sbin/cpconfig -license –view

     5. Активировать лицензию КриптоПро CSP можно командой:

sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии

Хранилище доверия macos

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей.

источник

Шаг 1. установить расширение «помощник диагностики»

Сразу предупредим, что в Safari с подписью работать не получится, поэтому зайдите по этой ссылке через Хром, Оперу, Яндекс браузер или Мозиллу.

Шаг 2. установить плагин диагностики

Плагин поможет сервисам Контура быстро находить подпись на вашем маке. 

Процесс его установки — стандартный, нажимаете: Продолжить → Установить → вводите пароль → успех.

Шаг 3. установить криптопро, ещё одно расширение и компонент к нему

Возвращаемся на установочный диск, там нас ждёт ещё одна установка. 

Нажимаем Далее → Установить → Перейти к расширению.

Оно снова установится в вашем браузере.